Monatliche Sicherheitsüberprüfung: März 2024

Bleiben Sie auf dem Laufenden über die Sicherheitstrends im März und unsere jüngsten Entwicklungen. 🙌

Monatliche Sicherheitsüberprüfung: März 2024

Sicherheit auf einen Blick 👀

Im März 2024 führten DeFi-Exploits zu Verlusten von rund 81 Millionen US-Dollar. Dank der Bemühungen aller Beteiligten konnten glücklicherweise die meisten Gelder zurückgewonnen oder Verhandlungen sind im Gange.

  • PrismaFi Exploit Vorfall

Am 28. März wurde PrismaFi auf Ethereum angegriffen, was zu einem Verlust von ca. 11 Mio. US-Dollar führte. Die Hauptursache war Nicht verifizierte Benutzereingabe. Bemerkenswert ist, dass der Angriff in über 10 Transaktionen durchgeführt wurde, mit 2 Nachahmer-Angreifern. Das Projektteam schaffte es, den Vertrag über Multisig mehr als 90 Minuten nach dem ersten Angriff zu sperren. Die Implementierung einer Notfall-Sperre mit Einzelsignatur mithilfe von Phalcon während dieses Angriffs hätte die Verluste erheblich reduzieren können.

Der Hauptangreifer hat Bereitschaft signalisiert, die Gelder zurückzugeben, und die Verhandlungen mit dem Projektteam sind noch im Gange. Überprüfen Sie die Verhandlungsgespräche.

  • Munchables Vorfall

Am 27. März wurden Vermögenswerte in Munchables auf Blast L2 in Höhe von 62 Mio. US-Dollar abgezogen. Dieser Vorfall war auf ein bösartiges Upgrade zurückzuführen, das von den Entwicklern implementiert wurde (der Vertrag war nicht Open Source). Glücklicherweise ergriffen das Projektteam und das Blast L2-Kernteam Maßnahmen, und der Entwickler gab die Gelder zurück. Derzeit werden alle Gelder in einer Safe{wallet} gehalten, die vom Blast L2-Kernteam kontrolliert wird.

Erklärung zur Verwahrung; Zeitstrahl; Klicken Sie hier, um mehr über den Vorfall zu erfahren.

  • ParaSwap Exploit Vorfall

Vom 19. bis 21. März wurden mehrere Benutzer von ParaSwap angegriffen, mit Gesamtverlusten von mindestens 300.000 US-Dollar. Die Hauptursache war ein Zugriffskontrollproblem. Erwähnenswert ist, dass der Hauptangreifer 90 % der Vermögenswerte zurückgegeben hat.

  • Unizen Exploit Vorfall

Am 8. März erlitt Unizen auf Ethereum und Polygon einen Exploit, der zu einem Verlust von 2,8 Millionen US-Dollar führte. Die Hauptursache war ein Problem mit nicht verifizierter Benutzereingabe. DeFi-Nutzer sollten ihre Genehmigungen regelmäßig überprüfen und wachsam bleiben!

Zusätzlich sandten Whitehats eine Rettungstransaktion auf Polygon über bloXroute's Semi-Private RPC, aber die Rettungstransaktion wurde an den Mempool gesendet und von MEV-Bots front-runned, was zu Kontroversen führte. Lesen Sie mehr darüber.

  • TGBS Token Exploit Vorfall

Am 6. März erlitt TGBS Token auf BSC einen Exploit, der zu einem Verlust von 150.000 US-Dollar führte. Interessanterweise lösten die Änderungen, die der Eigentümer gerade eine Stunde zuvor vorgenommen hatte, den Angriff aus, so dass es sich um einen weiteren Rug Pull handeln könnte. Überprüfen Sie die Warnung

  • WooFi Exploit Vorfall

Am 5. März erlitt WooFi auf Arbitrum einen Exploit, der zu einem Verlust von 8,75 Millionen US-Dollar führte. Die Hauptursache war ein Problem mit anfälliger Preisabhängigkeit. Der Kreditmarkt von WooFi wurde ausgenutzt, weil der Preis von $Woo so manipuliert wurde, dass er extrem günstig war, was es dem Ausnutzer ermöglichte, große Mengen von $Woo per Flashloan zu leihen und leicht zurückzuzahlen.

Obwohl sein Preismechanismus den Oracle von Chainlink zur Preisprüfung nutzte, lieferte Chainlink auf Arbitrum keinen Preis für $Woo und konnte den Angriff nicht verhindern. Lesen Sie den Post-Mortem-Bericht

👉 Sie können Angriffstransaktionen, Ursachen und PoCs der oben genannten Vorfälle in unserer Liste der Sicherheitsvorfälle einsehen.

Blogartikel & Video

Wie L2-Ketten verschiedene Maßnahmen implementieren können, um die Sicherheit von Top-Protokollen zu verbessern und die Vermögenswerte der Benutzer in der Kette zu schützen.

Sichern Sie den gesamten Lebenszyklus Ihres Protokolls mit BlockSec. Von der Sicherheitsprüfung vor dem Start bis zur Überwachung und Blockierung von Angriffen nach dem Start (Phalcon), wir sind für Sie da.

Der CEO von BlockSec, Yajin Zhou, betritt die Bühne im Open Information House @ ETHDenver 2024, um eine wegweisende Rede mit dem Titel "BlockSec & die Spitze der Sicherheit" zu halten.

Verpassen Sie nicht diese Gelegenheit für eine anregende und aufschlussreiche Diskussion, die Ihre Denkweise über Blockchain-Sicherheit verändern wird.

Partnerschaft

Der Blockchain-Explorer Blockscout hat die Funktionen Adressbeschriftung (Ethereum, Polygon, Gnosis, Optimism und Base) von MetaSuites und die GPT-gestützte Transaktionserklärung (Ethereum) integriert und hat auch einen schnellen Zugriff auf den Phalcon Explorer hinzugefügt. 🎉🎉

Neue Website, neues Kapitel

Spannende Neuigkeiten – wir haben unsere Website komplett überarbeitet!

Bei BlockSec stehen wir Ihnen zur Seite und sorgen dafür, dass Ihre Protokolle in jeder Phase sicher sind, von der Phase vor dem Start bis zur Phase nach dem Start! Klicken Sie hier, um mehr zu erfahren.

Sign up for the latest updates
Web3 Smart Contract & EVM Chain Audits | BlockSec

Web3 Smart Contract & EVM Chain Audits | BlockSec

BlockSec secures Web3 with attacker-driven audits, chain reviews, and zero-day detection - battle-tested, blocking 20+ hacks and $20M+ losses.

BlockSec Web3 Security: Smart Contract & EVM Chain Audits

BlockSec Web3 Security: Smart Contract & EVM Chain Audits

BlockSec delivers advanced smart contract audits and EVM chain audits, combining deep research with real attack insights to secure Web3 systems.

Agent-Native Crypto Compliance: Build KYA/KYT with X402

Agent-Native Crypto Compliance: Build KYA/KYT with X402

Discover how BlockSec enables AI agents to run KYA/KYT checks with X402—a stateless, pay-per-call crypto compliance protocol.